風(fēng)險評估方案

1、.：.；風(fēng)險評價預(yù)備：確定評價范圍、組織評價小組、評價目的、評價工具和評價方法。風(fēng)險要素識別：資產(chǎn)識別、要挾識別、脆弱點識別風(fēng)險評價方法：采用的方法主要有：問卷調(diào)查、工具檢測、人工核對、文檔查閱、浸透性測試等。資產(chǎn)評價1資產(chǎn)識別：硬件資產(chǎn)運用系統(tǒng)資產(chǎn)稱號資產(chǎn)編號維護(hù)人型號配置購機(jī)年限整體負(fù)荷重要性程度網(wǎng)絡(luò)系統(tǒng)資產(chǎn)稱號資產(chǎn)編號維護(hù)人型號配置購機(jī)年限整體負(fù)荷重要性程度文檔和數(shù)據(jù)資產(chǎn)稱號責(zé)任人備份方式存儲方式重要性程度備注人力資產(chǎn)識別崗位崗位描畫姓名備注業(yè)務(wù)運用資產(chǎn)稱號設(shè)計容量系統(tǒng)負(fù)荷廠商效力才干重要性程度物理環(huán)境資產(chǎn)稱號適用范圍描畫適用年限整體負(fù)荷重要性程度2資產(chǎn)賦值：硬件資產(chǎn)運用系統(tǒng)資產(chǎn)稱號性完

2、好性可用性重要性程度備注網(wǎng)絡(luò)系統(tǒng)資產(chǎn)稱號性完好性可用性重要性程度備注文檔和數(shù)據(jù)資產(chǎn)稱號性完好性可用性重要性程度備注軟件資產(chǎn)稱號性完好性可用性重要性程度備注物理環(huán)境資產(chǎn)稱號性完好性可用性重要性程度備注資產(chǎn)評價性、完好性、可用性的賦值經(jīng)過調(diào)查詢卷來實現(xiàn)性能否可以包容具有不同密鑰長度的各種加密機(jī)制？ 能否保證 SOAP音訊級的性？ 加密簽名數(shù)據(jù)時，其摘要值能否被加密?(假設(shè)沒有加密攻擊者可以借此推測明文，使得加密數(shù)據(jù)被破壞？ 能否保證網(wǎng)絡(luò)傳輸層的性？ 完好性能否為加密后的數(shù)據(jù)再采用簽名以確保初始化矢量的完好性不被破壞？(加密算法中運用的初始化矢量雖然可以處理為給定密鑰和數(shù)據(jù)創(chuàng)建一樣密文的平安問題，但

3、初始化矢量本身也能夠被修正，使上述問題再次出現(xiàn)。)能否采用的多種簽名格式？ 可用性加密的工具對遞歸深度或懇求運用資源數(shù)量能否做限制？ 選擇采用的適宜的預(yù)防措施以免受任何潛在的回絕效力的攻擊。 3重要性程度的賦值：運用頭腦風(fēng)暴法，即根據(jù)風(fēng)險預(yù)測和風(fēng)險識別的目的和要求，組成專家組，經(jīng)過會議方式讓大家暢所欲言，而后對各位專家的意見進(jìn)展匯總、綜合，以得出最后的結(jié)論。資產(chǎn)評價值=Roundlog 2 2性+2完好性+2可用性性0.4，完好性0.4，可用性0.4，資產(chǎn)評價值0.4要挾評價要挾確實定：經(jīng)過對運用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、文檔和數(shù)據(jù)、軟件、物理環(huán)境設(shè)計調(diào)查詢卷，根據(jù)答案的匯總進(jìn)展確定如：網(wǎng)絡(luò)層次平安要素

4、身份鑒別自主訪問控制標(biāo)志強迫訪問控制數(shù)據(jù)流控制平安審計數(shù)據(jù)完好性數(shù)據(jù)嚴(yán)密性可信途徑抗抵賴網(wǎng)絡(luò)平安監(jiān)控網(wǎng)絡(luò)平安功能根本要求：身份鑒別：用戶識別在SSF實施所要求的動作之前，能否對提出該動作要求的用戶進(jìn)展標(biāo)識？所標(biāo)識用戶在信息系統(tǒng)生存周期內(nèi)能否具有獨一性？對用戶標(biāo)識信息的管理、維護(hù)能否可被非授權(quán)地訪問、修正或刪除？用戶鑒別在SSF實施所要求的動作之前，能否對提出該動作要求的用戶進(jìn)展鑒別？能否檢測并防止運用偽造或復(fù)制的鑒別數(shù)據(jù)能否提供一次性運用鑒別數(shù)據(jù)操作的鑒別機(jī)制？能否提供不同的鑒別機(jī)制？根據(jù)所描畫的多種鑒別機(jī)制如何提供鑒別的規(guī)那么？能否規(guī)定需求重新鑒別用戶的事件？用戶-主體綁定對一個已識別和鑒別

5、的用戶，能否經(jīng)過用戶-主體綁定將該用戶與該主體相關(guān)聯(lián)？自主訪問控制：訪問控制戰(zhàn)略能否按確定的自主訪問控制平安戰(zhàn)略實現(xiàn)主體與客體建操作的控制？能否有多個自主訪問控制平安戰(zhàn)略，且多個戰(zhàn)略獨立命名？訪問控制功能能否在平安屬性或命名的平安屬性組的客體上執(zhí)行訪問控制SFP？在基于平安屬性的允許主體對客體訪問的規(guī)那么的根底上，能否允許主體對客體的訪問？在基于平安屬性的回絕主體對客體訪問的規(guī)那么的根底上，能否回絕主體對客體的訪問？訪問控制范圍1、每個確定的自主訪問控制，SSF能否覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主體、客體及其之間的操作？2、每個確定的自主訪問控制，SSF能否覆蓋網(wǎng)絡(luò)系統(tǒng)中一切的主體、客體及其之間的操作

6、？訪問控制粒度1、網(wǎng)絡(luò)系統(tǒng)中自主訪問控制粒度為粗粒度/中粒度/細(xì)粒度？標(biāo)志：主體標(biāo)志能否為強迫訪問控制的主體指定敏感標(biāo)志？客體標(biāo)志2、能否為強迫訪問控制的客體指定敏感標(biāo)志？標(biāo)志完好性敏感標(biāo)志能否準(zhǔn)確表示特定主體或客體的訪問控制屬性？有標(biāo)志信息的輸出將一客體信息輸出到一個具有多級平安的I/O設(shè)備時，與客體有關(guān)的敏感標(biāo)志也可輸出？對于單級平安設(shè)備，授權(quán)用戶能否可靠地實現(xiàn)指定的平安級的信息通訊？強迫訪問控制訪問控制戰(zhàn)略能否為強迫訪問控制的主體指定敏感標(biāo)志？客體標(biāo)志2、能否為強迫訪問控制的客體指定敏感標(biāo)志？標(biāo)志完好性敏感標(biāo)志能否準(zhǔn)確表示特定主體或客體的訪問控制屬性？有標(biāo)志信息的輸出將一客體信息輸出到一

7、個具有多級平安的I/O設(shè)備時，與客體有關(guān)的敏感標(biāo)志也可輸出？對于單級平安設(shè)備，授權(quán)用戶能否可靠地實現(xiàn)指定的平安級的信息通訊？用戶數(shù)據(jù)完好性存儲數(shù)據(jù)的完好性能否對基于用戶屬性的一切客體，對用戶數(shù)據(jù)進(jìn)展完好性檢測？2、當(dāng)檢測到完好性錯誤時，能否采取必要的恢復(fù)、審計或報警措施？傳輸數(shù)據(jù)的完好性1、能否對被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)展檢測？2、數(shù)據(jù)交換恢復(fù)假設(shè)沒有可恢復(fù)復(fù)件，能否向源可信IT系統(tǒng)提供反響信息？處置數(shù)據(jù)的完好性對信息系統(tǒng)處置中的數(shù)據(jù)，能否經(jīng)過“回退進(jìn)展完好性維護(hù)？用戶數(shù)據(jù)嚴(yán)密性存儲數(shù)據(jù)的嚴(yán)密性能否對存儲在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)展嚴(yán)密性維護(hù)？傳輸數(shù)據(jù)的嚴(yán)密性1、能否對在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)展嚴(yán)密性維護(hù)

8、？客體平安重用1、將平安控制范圍之內(nèi)的某個子集的客體資源分配給某一用戶或進(jìn)程時，能否會泄露該客體中的原有信息？2、將平安控制范圍之內(nèi)的一切客體資源分配給某一用戶或進(jìn)程時，能否會泄露該客體中的原有信息？如：調(diào)查詢卷標(biāo)題認(rèn)證能否提供注冊效力機(jī)制？只提供點到點的認(rèn)證效力還是提供端到端的認(rèn)證效力？能否更新現(xiàn)有的身份識別以符合最新Web效力平安規(guī)范？ 授權(quán)對訪問資源提供大粒度的訪問控制還是小粒度的訪問控制？ 能否更新現(xiàn)有接入控制平安戰(zhàn)略以滿足效力平安規(guī)范？ 認(rèn)證勝利之后, 能否在運轉(zhuǎn)時根據(jù)資源訪問權(quán)限列表來檢查效力懇求者的訪問級別？審計性管理員能否可以在生命周期的不同時辰追蹤并找出效力懇求？ 哪些技術(shù)提

9、供了不可否認(rèn)性的一個關(guān)鍵元素？ 不可否認(rèn)性能否支持不可否認(rèn)性？不可否認(rèn)性使得用戶可以證明事務(wù)是在擁有合法證書的情況下進(jìn)展的。 能否包含時間戳、序列號、有效期、音訊相關(guān)等元素，并進(jìn)展簽名從而保證音訊的獨一性(當(dāng)緩存這些信息時，可以檢測出重放攻擊)？經(jīng)過工具進(jìn)展掃描收費要挾掃描工具內(nèi)網(wǎng)要挾發(fā)現(xiàn)處理方案中心技術(shù)包括：知病毒掃描、變種和加殼惡意程序掃描、惡意程序行為分析引擎、網(wǎng)絡(luò)蠕蟲病毒掃描、網(wǎng)頁信譽效力能處理的問題：惡意程序?qū)崟r分析系統(tǒng)、惡意程序的深度分析、惡意程序的處置建議可得出的結(jié)論：總體風(fēng)險等級、感染源統(tǒng)計、要挾統(tǒng)計、潛在風(fēng)險免費掃描工具：Nmap 網(wǎng)絡(luò)平安診斷和掃描工具，進(jìn)展端口掃描，是一款

10、開放源代碼的網(wǎng)絡(luò) 探測和平安審核的工具，它的設(shè)計目的是快速地掃描大型網(wǎng)絡(luò)。Nikto Web效力器破綻掃描工具，Nikto是一款開源的GPL網(wǎng)頁效力器掃描器，它可以對網(wǎng)頁效力器進(jìn)展全面的多種掃描。掃描項和插件可以自動更新?；赪hisker/libwhisker完成其底層功能。這是一款非常棒的工具，但其軟件本身并不經(jīng)常更新，最新和最危險的能夠檢測不到。X-scan、ISS、Nessus 破綻掃描工具闡明：眾多的自動化掃描工具當(dāng)中，Nessus是最值得稱譽的。它基于C/S架構(gòu)、插件構(gòu)造的自動化掃描工具，可以免費運用，在線晉級并隨時獲取國內(nèi)外平安高手編寫的最新破綻的掃描插件。目前Nessus的插件

11、個數(shù)曾經(jīng)超越14000個，而且這個數(shù)量正在急速上升，由于幾乎全世界的平安人員都在運用這個工具，其中有很多黑客會向Nessus提供本人編寫的插件。因此，運用Nessus進(jìn)展掃描就像是全世界的頂尖平安人員都在用他們的技術(shù)在協(xié)助 我們檢查網(wǎng)絡(luò)中的缺陷?？傻贸龅慕Y(jié)論：破綻信息摘要、破綻的詳細(xì)描畫、處理方案、風(fēng)險系數(shù)免費風(fēng)險評價系統(tǒng)ASSET是美國國家規(guī)范及時協(xié)會NIST發(fā)布的一個可用于平安風(fēng)險自我評價的軟件工具，采用典型的基于知識的分析方法，經(jīng)過問卷方式自動完成信息技術(shù)系統(tǒng)的自我平安評價，由此了解系統(tǒng)的平安現(xiàn)狀，并提出相對的對策。ASSET下載地址： HYPERLINK i

12、其他常用風(fēng)險評價系統(tǒng)：稱號RISKASSETBDSSCORACOBRACRAMMRA/SYSRiskWatch體系構(gòu)造單機(jī)單機(jī)單機(jī)單機(jī)C/S單機(jī)單機(jī)單機(jī)所用方法專家系統(tǒng)基于知識專家系統(tǒng)過程式算法專家系統(tǒng)過程式算法過程式算法專家系統(tǒng)定性/定量定量定性/定量結(jié)合定性/定量結(jié)合定量定性/定量結(jié)合定性/定量結(jié)合定量定性/定量結(jié)合數(shù)據(jù)采集方式調(diào)查文件調(diào)查詢卷調(diào)查詢卷調(diào)查文件調(diào)查文件過程過程調(diào)查文件輸出結(jié)果決策支持信息提供控制目的和建議平安防護(hù)措施列表決策支持信息結(jié)果報告、風(fēng)險等級結(jié)果報告、風(fēng)險等級風(fēng)險等級、控制措施風(fēng)險分析綜合報告風(fēng)險等級劃分：風(fēng)險值900極高54900風(fēng)險值70

13、0高43700風(fēng)險值500中32500風(fēng)險值300低21300風(fēng)險值極低10脆弱性評價文檔審計手動進(jìn)展審計和分析日志的檢查和分析經(jīng)過對日志的查詢和分析，快速對潛在的系統(tǒng)入侵做出記錄和預(yù)測，對發(fā)生的平安問題進(jìn)展及時總結(jié)。關(guān)鍵網(wǎng)絡(luò)、平安和效力器日志進(jìn)展備份定期對關(guān)鍵網(wǎng)絡(luò)、平安設(shè)備和效力器日志進(jìn)展檢查和分析，構(gòu)成記錄權(quán)限和口令管理對關(guān)鍵設(shè)備按最新平安訪問原那么設(shè)置訪問控制權(quán)限，并及時清理冗余系統(tǒng)用戶，正確分配用戶權(quán)限建立口令管理制度，定期修正操作系統(tǒng)、數(shù)據(jù)庫及運用系統(tǒng)管理員口令，并有相關(guān)記錄登錄口令修正頻率不低于每月一次登錄口令長度的限制，并采用數(shù)字、字母、符號混排的方式。采取限制IP登錄的管理措施。實時監(jiān)控記錄1.對效力器、主干網(wǎng)絡(luò)設(shè)備的性能，進(jìn)展24小時實時監(jiān)控的記錄進(jìn)展檢查。2.對效力器、主干網(wǎng)絡(luò)設(shè)備的運轉(zhuǎn)情況，對實時監(jiān)控的記錄進(jìn)展檢查。3.對網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容進(jìn)展實時監(jiān)控，對實時監(jiān)控的記錄進(jìn)展檢查。 利用平安審計和文檔平安工具 綠盟、天融信均有平安審計查閱工具?？蓪崿F(xiàn)的功能：審計查閱：提供從審計記錄中讀取信息的才干有限審計查閱：審計查閱工具應(yīng)制止具有讀訪問權(quán)限以外的用戶讀取審計信息可選審計查閱：審計查閱工具應(yīng)具有根據(jù)準(zhǔn)那么來選擇要查閱的審計數(shù)據(jù)的功能，并根據(jù)某種邏輯關(guān)系的規(guī)范提供對審計數(shù)據(jù)進(jìn)展搜索、分類、排序